[upki-fed:77] 【注意喚起】Apache HTTP Serverの脆弱性について (CVE-2024-38476)

21 views
Skip to first unread message

学認事務局

unread,
Sep 5, 2024, 4:20:33 AMSep 5
to idp-c...@nii.ac.jp, sp-co...@nii.ac.jp, upki...@nii.ac.jp, gakunin...@nii.ac.jp
IdP運用担当者 各位
SP運用担当者 各位
学認情報交換ML参加者 各位

国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

先日お知らせした、「【注意喚起】Apache HTTP Serverの脆弱性について
(CVE-2024-38475)」に関連して、RHEL系のhttpdパッケージで新たにCVE-2024-38476に対策したパッケージがリリースされています。

RHEL系OS提供のhttpdパッケージをご利用の場合、先日のアナウンスに対処済みの場合にも改めてアップデートをしていただく必要があります。

RHEL系OS提供のhttpdパッケージで対処済みかどうかはChangelogをご確認ください。
例えば、以下のようにCVE-2024-38476対策済みである記載があれば対処済みです。

$ rpm -q --changelog httpd |grep -B1 CVE-2024-38476
- Resolves: RHEL-46047 - httpd: Security issues via backend
applications whose response headers are malicious or exploitable
(CVE-2024-38476)

※ RHEL系のhttpdパッケージも影響を受けるため、技術ガイドに従って構築されたIdP/SPも影響を受ける可能性があります。

以下のサイトなどで情報をご確認いただき、すみやかにアップデートを実施していただくことをお勧め致します。

(Red Hat Security Advisory)
https://access.redhat.com/errata/RHSA-2024:5193
https://access.redhat.com/errata/RHSA-2024:5138

(Red Hat CVE Database)
https://access.redhat.com/security/cve/cve-2024-38476

(Apache HTTP Server)
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2024-38476


===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===========================================================

--

Reply all
Reply to author
Forward
0 new messages